2015阿里安全峯會

catalog

0. 會議相關 
1. 起航-遠望
2. 沈昌祥院士議題: 雲模式下等保體系建設
3. 安全的將來是態勢感知
4. 網絡安全的北迴歸線
5. 互聯網+時代的移動安全實踐
6. 政企安全之雲化 
7. 制高點、雷區和火力支援-縱深防護體系中的能力點思考
8. 其餘議題
9. 參會感覺

 

0. 會議相關

2015-07-09~10(持續兩天)
北京JW萬豪酒店
主題: 天下無賊

 

1. 起航-遠望

0x1: 演講者

阿里安全技術副總裁: 杜躍進

0x2: 技術背景

1. 新形勢的互聯網安全包括業務安全、生產安全、技術安全
2. 新形式下的機會: 利用不一樣的理念，打破行業格局，制定行業規則纔是最重要的制高點
3. 互聯網+: 快速迭代 
4. 國際化

0x3: 議題中的關鍵技術 / 技術難點

挑戰/焦點

1. 業務/數據安全
    1) 生產穩定性
    2) 安全是依託於業務。要在維持業務穩定性下開展安全
    3) 數據必須一直大量使用，在互聯網+模式下，數據的邊界將變得不可控，例如google的去內網化
2. 雲/移動
    1) 在互聯網+下，一個網站、業務系統、APP可能就表明了一整個公司，雲業務系統的安全就是整個公司的安全
3. 國際/農村
    1) 產品在面對不一樣人羣的時候，產品形態應該是不一樣的，在不一樣的法規、用戶使用習慣下，安全服務於業務的形式都是不同的 
4. 信用/大數據

安全還須要兼顧"體驗"，安全就像水、空氣同樣潤物細無聲，用戶的業務是透明接入的，無感知的，當發生安全威脅的時候，安全防護體系會自動出現，幫用戶解決安全問題

0x4: 相似原理相關的技術

0x5: 攻防思考

 

2. 沈昌祥院士議題: 雲模式下等保體系建設

國家級的院士講的太理論化、高大上了，我並不能徹底聽懂院士的議題，並且現場還出現了"啪啪啪"事件，氛圍挺不錯的
三重安全防禦

1. 計算環境
2. 網絡區域邊界
3. 網絡通訊

3. 安全的將來是態勢感知

0x1: 演講者

阿里巴巴安全研究員: 吳翰清

0x2: 技術背景

1. 安全從業者最大的痛點在於，客戶花了錢，還被黑
2. FireEye、Mandian研究發現97%使用傳統網絡安全產品的企業沒法抵擋現今的網絡攻擊

木桶原理: 黑客老是從意想不到的地方(0DAY)入侵，安全解決方案不能解決所有問題，黑客只要找到一個點就能入侵

1. 員工信息安全
2. 資料泄漏
3. 社工
4. 釣魚欺騙
5. 第三方服務

安全市場分析，目前市場上對安全有需求的用戶羣裏大體能夠分爲如下幾類

//如下2類是目前運市場上佔比較大的羣體，主要以防入侵、數據防泄漏爲剛性需求
1. 互聯網行業、創業者
2. 小站長、我的

//如下2類是傳統安全廠商重點關注的羣體，主要以等保爲剛性需求
3. 銀行、電力、央企
4. 地方政府

0x3: 議題中的關鍵技術 / 技術難點

態勢感知理論基礎: 提出一個問題，比解決一個問題重要，全面、快速、準確的感知過去、如今、將來的安全威脅

1. 安全產生的數據可能比正常業務還多
2. 讓數據在線
3. 鏈接不一樣的數據，從而創造新的價值

SIEM、SOC的失敗

1. 部署難
2. IT信息維護難
3. 數據標準不統一
4. 計算能力弱
    1) 傳統安全設備受限於單機性能，因此工做模式是: 過濾，即特徵庫匹配模式
    2) 由於存儲不下來

三大關鍵數據源

1. 鏡像流量數據
2. 主機Agent數據
3. 情報數據

0x4: 相似原理相關的技術

0x5: 攻防思考

Relevant Link:

https://www.fireeye.com/index.html

 

4. 網絡安全的北迴歸線

0x1: 演講者

啓明星辰首席戰略官: 潘柱廷

0x2: 技術背景

北向技術包括

1. 戰略
2. 架構
3. 諮詢智庫
4. 基礎方向
5. 人才
6. 效益經濟
7. 生態環境
8. 心智

0x3: 議題中的關鍵技術 / 技術難點

1. 北向給內向以指導做用，一個產品不能解決全部問題，但不能表明這個產品就沒有價值
2. 縱深防護的本質就是，全部的產品都有可能失效，當一個產品可能失效，但並不能表明這個產品就沒有價值
3. 大數據實現的價值必定是在充分實現小數據的價值基礎上，才能發揮大數據的違例，安全對抗的本質是成本的資金的對抗，大數據對抗是須要成本的
4. 北向的極端是戰略

0x4: 相似原理相關的技術

0x5: 攻防思考

 

5. 互聯網+時代的移動安全實踐

0x1: 演講者

阿里移動安全首席架構師: 潘愛民

0x2: 技術背景

1. 無線信號安全
    1) 各類無線信號的保密和真僞
2. 無線鏈路安全
    1) 接入internet、ap接入
3. 端的安全
    1) 操做系統、root、系統0day漏洞、廠商、app應用漏洞

移動業務面臨的安全需求

1. 系統不安全，缺少基本的可信執行環境
2. 應用分發渠道不可控，存在應用被冒用、篡改
3. 業務風險
    1) 賬號被盜、垃圾註冊、信息泄漏
    2) 虛假交易、營銷做弊、信用炒做

0x3: 議題中的關鍵技術 / 技術難點

APP模式挑戰

1. 目前尚處於漏洞頻發階段
2. 漏洞修復的到達率取決於用戶升級意願和場景
3. APP版本長期處於新老版本混雜

阿里移動安全體系

1. 威脅感知
    1) root檢測，手機root破壞了操做系統原有的保護機制，容易引起針對app攻擊和業務風險
    2) 模擬器檢測，app運行在模擬器中，容易受到逆向破解，抓分分析網絡協議
2. app加固
    1) 針對app安裝包進行加固，無需修改源代碼或者二次開發
3. app風險掃描
    1) 應用漏洞掃描
    2) 惡意代碼檢測，對APK進行可疑代碼段靜態檢測，惡意行爲動態分析，特診及黑名單匹配，查找隱藏在代碼中

針對移動漏洞的方案

1. 流層保障: 安全測試、漏洞響應規範
2. 技術與架構
    1) 核心邏輯提供熱補丁的能力: 適用於基礎模塊
    2) 模塊級的升級/隔離方案: 特別是第三方模塊
    3) 服務端的邏輯控制: 適合於業務邏輯模塊
    4) 接入層控制: 適合於接口層/通信層的邏輯

0x4: 相似原理相關的技術

0x5: 攻防思考

 

6. 政企安全之雲化

0x1: 演講者

安恆信息技術有限公司總裁: 範淵

0x2: 技術背景

1. 業務安全/應用安全依然是安全威脅的主要源頭
2. 內部安全威脅趨勢未減
    1) 各單位管理員
    2) 第三方代維人員
3. 政務通訊安全

政企安全之大數據

1. 傳統政企內網中的大量數據獨立存放、獨立分析
2. 數據在線存儲最多爲1~3個月
3. 難於深刻挖掘和深刻分析
4. 個數據之間沒法聯動
5. 各種安全數據須要集中存儲、關聯分析，造成安全分析綜合平臺

0x3: 議題中的關鍵技術 / 技術難點

數據庫審計

1. 全面審計、分析數據庫操做行爲
//最重要、最關心的是: 變化，即經過一段時間的學習以後，而由於攻擊/入侵產生的突變

政企內網等保安全建設落地

1. 技術安全建設
    1) 物理安全
    2) 網絡安全
    3) 主機安全
    4) 應用安全
    5) 數據安全
2. 安全管理建設
    1) 安全管理制度
    2) 安全管理機構
    3) 人員安全管理
    4) 系統建設管理
    5) 系統運維管理
3. 指導建設
    1) 安全設計
//等級保護是作虛仍是作實，在進行安全建設的時候要明白合規等保須要實現的價值

0x4: 相似原理相關的技術

0x5: 攻防思考

 

7. 制高點、雷區和火力支援-縱深防護體系中的能力點思考

0x1: 演講者

安天首席架構師: (肖新光)江海客

0x2: 技術背景

海客在議題中重點講到了沙箱技術，沙箱技術是一種很古老的安全對抗技術，雖然如今Sandbox被普遍運用在了高級威脅APT的防護中，但咱們也要看到，以郵件、chm、PDF爲表明的APT攻擊，由於自己受限於攻擊載體自身的限制，致使惡意代碼不得不經過"文本轉換爲代碼"這個過程實現攻擊環境的初始化，而這個過程很容易遭到Sandbox的劫持，對Sandbox這種技術，咱們須要理性看待，若是放在純粹的二進制級別的Sandbox、Anti-Sandbox對抗中，沙箱技術是很難佔上風的，由於這是在進行源碼對源碼的對抗

1. 一種必須部署的基本能力
2. 一種可以殺傷普通對手的能力
3. 一種高級攻擊者必須繞過的能力
4. 傳統的AV等基礎檢測能力纔是"制高點"
5. 不要神話制高點
//制高點並非說比基礎防護就有效，而僅僅只是防護體系中必須的一個環節

沙箱:反思

1. 沙箱的核心優點是針對攻擊中的數據->指令轉換的弱點
2. 在複合鑑定器中，絕大多數檢查率是靜態機制貢獻的，FireEye的檢測引擎中也集成了開源AV檢測系統ClamAV
3. 沙箱針對對PE對抗沒有必然的優點，FireEye使用沙箱對抗的效果是由於在以PDF爲表明的攻擊路徑中，受限於文本空間有限，而不得以藉助於文本向代碼轉換

0x3: 議題中的關鍵技術 / 技術難點

1. 安全性與保密性的平衡
2. 用戶端和雲端檢測能力的平衡，在客戶端也須要有必定的檢測能力

沙箱無法解決的問題

1. 完整性
2. 有效性
3. 準確性
4. 信息淹沒

在安全攻防產品中，安全防護者還會面臨的一個大問題是，便可探測性

1. 產品的能力是提供給用戶的，但也是暴力在攻擊者面前的，黑客者能夠利用相似於SQL注入中的盲注技術思想，對安全產品的能力進行推理探測，從而逐步畫出目前產品的防護能力譜線，針對性的制定Bypass措施，這也是免殺攻防對抗激烈的根本緣由
2. 產品能力來自於更大的支撐縱深
//反饋是一種微秒的東西，它有可能致使黑客成功嘗試獲取目標產品的能力範圍

0x4: 相似原理相關的技術

0x5: 攻防思考

Relevant Link: 

http://card.weibo.com/article/h5/s#cid=1001603856252865263245&vid=5197078982&extparam=&from=&wm=0&ip=60.247.114.162
http://www.cnblogs.com/LittleHann/p/4460954.html
http://www.programlife.net/sandbox-detecting-tricks.html

 

8. 其餘議題

電子商務業務與安全 趨勢、挑戰與應對: 郭睿
脫繭: 騰訊安全平臺部負責人 楊勇 coolc
網絡空間的信任模型-現狀與挑戰之--DNS信任體系: 段海新

 

9. 參會感覺

整體來講，不管是甲方、乙方、仍是融合了甲乙方特性的互聯網公司安所有門，業內都基本造成了幾個共識

1. 安全是一個縱深防護體系，在體系化結構下，沒有哪一個產品比哪一個產品高端、先進，就像塔防遊戲同樣，只有在正確的位置/場景部署最合適的攻防產品，讓產品的能力發揮最大的極限，才能真正解決安全問題
2. 安全是一個持續對抗，迭代升級的過程，傳統的三大件(防火牆、IDS、IPS(Intrusion Prevention System))並非說必定會淘汰，而是須要根據新形式下的攻防做出改進
3. 市場對安全最大的訴求在於"感知入侵、防入侵、反入侵"，要實現這個目的，須要有如下幾個體系和人才的搭建
    1) 態勢/威脅感知
    須要有傳統的Agent產品完成基礎數據的收集，以及依託雲計算平臺進行交叉關聯的運算，實現情報->威脅的產出
    2) 安全漏洞(尤爲是0DAY CVE)的原理性研究團隊，在當前，WEB/系統/基礎軟件庫的0DAY漏洞爆發，依然是致使用戶資本被入侵的主要緣由，固然這裏並不包括APT攻擊，但誠如海客說的，APT的防護必定是搭建在基礎/常見漏洞已經極大程度、甚至徹底消失以後的基礎之上的，APT的防護至關於最後一張極細的過濾網
    3) 漏洞修復/Hotfix
    當漏洞出現的時候，不論是雲廠商，仍是傳統甲方廠商，在儘量的狀況下，都須要幫助用戶完成漏洞的修復，例如源碼修復重編譯、配置項的動態修改、內核打補丁，而漏洞修復是創建在完成了漏洞細節的研究的基礎之上的
4. 安全產品雖然不是安全攻防的惟一形態，可是倒是一個很好、頗有效的形態，依託於安全產品，能夠實現安全研究、漏洞修復、SDL的服務器輸出
5. 系統層的安全加固、檢測可以對用戶的機器起到"安全基線"的做用，至關於一個簡單、原始的"等保措施"

 

Copyright (c) 2015 Little5ann All rights reserved